Certificat d’authentification – Paiement éléctronique

By 14 April 2011

Certificat d’authentification

5.4.1. Définition

« Un certificat permet d’associer une clé publique à une entité (une personne, une machine, ) afin d’en assurer la validité. Le certificat est en quelque sorte la carte d’identité de la clé publique, délivré par un organisme appelé autorité de certification (souvent notée CA pour Certification Authority).

L’autorité de certification est chargée de délivrer les certificats, de leur assigner une date de validité (équivalent à la date limite de péremption des produits alimentaires), ainsi que de révoquer éventuellement des certificats avant cette date en cas de compromission de la clé (ou du propriétaire) » [CCMCR 09]

5.4.2. Les informations du certificat

Les certificats sont de petits fichiers divisés 3 parties:
Structure d'un certificat d'authentification
Figure08. Structure d’un certificat d’authentification [SAMJER 10].

5.4.3. L’utilisation des certificats

Les certificats servent principalement dans trois types de contextes [CCMCR 09]:

a) Le certificat client

Stocké sur le poste de travail de l’utilisateur ou embarqué dans un conteneur tel qu’une carte à puce et permet d’identifier un utilisateur et de lui associer des droits.
Dans la plupart des scénarios il est transmis au serveur lors d’une connexion, qui affecte des droits en fonction de l’accréditation de l’utilisateur. Il s’agit d’une véritable carte d’identité numérique utilisant une paire de clés asymétriques d’une longueur de 512 à 1024 bits.

b) Le certificat serveur

Installé sur un serveur web, il permet d’assurer le lien entre le service et le propriétaire du service. Dans le cas d’un site web, il permet de garantir que l’URL et en particulier le domaine de la page web appartiennent bien à telle ou telle entreprise. Par ailleurs il permet de sécuriser les transactions avec les utilisateurs grâce au protocole SSL (Voir paragraphe SSL).

c) Le certificat VPN

Est un type de certificat installé dans les équipements réseaux, permettant de chiffrer les flux de communication de bout en bout entre deux points (par exemple deux sites d’une entreprise). Dans ce type de scénario, les utilisateurs possèdent un certificat client, les serveurs mettent en oeuvre un certificat serveur et les équipements de communication utilisent un certificat particulier (généralement un certificat IP Sec).

5.4.4. Inconvénients de l’utilisation des certificats

a) Complexe

Les mécanismes d’attribution, de validation et de révocation en font un système très complexe à gérer.

b) Pointu techniquement

L’infrastructure à mettre en place (PKI) nécessite une parfaite maîtrise technique.

c) Coûts

  • Les solutions disponibles sur le marché sont réservées à des applications stratégiques.
  • Le coût de déploiement est souvent prohibitif.
  • Tendance à sous‐estimer les coûts humains de maintenance.
  • Le système n’a de valeur que si l’on garantit la parfaite confidentialité, intégrité et disponibilité de la clé privée associée.

Lire le mémoire complet ==> (Conception et réalisation d’une plate-forme de commerce électronique)
Mémoire de fin d’études pour l’obtention du diplôme d’Ingénieur d’Etat en Informatique
Ecole nationale supérieure d’informatique